Eset entdeckt erste Verschlüsselungsmalware für Android

Andre Borbe,
Eset (Grafik: Eset)

Bislang ist der Trojaner namens Simplocker nur in der Ukraine aufgetaucht. Er verschlüsselt Bilder, Dokumente und Videos. Für die Freigabe müssen Betroffene ein Lösegeld in Höhe von 16 Euro bezahlen.

Der slowakische Sicherheitsanbieter Eset hat nach eigenen Angaben die erste Verschlüsselungsmalware für Android entdeckt. Der Trojaner trägt den Namen Android/Simplocker.A und ist bislang nur in der Ukraine aufgetaucht. Nutzer sollen ein Lösegeld von umgerechnet 16 Euro bezahlen, um die verschlüsselten Dateien wieder freischalten zu lassen.

eset-800“Die Malware scannt, nachdem sie sich auf einem Android-Gerät eingenistet hat, die SD-Karte nach bestimmten Dateitypen, verschlüsselt sie, und fordert ein Lösegeld, um die Dateien wieder freizugeben”, schreibt Eset-Forscher Robert Lipovsky in einem Blog. “Wir haben es höchstwahrscheinlich mit einer Machbarkeitsstudie oder einem laufenden Arbeitsprozess zu tun.”

Demnach kann die Ransomware Bilder, Dokumente und Videos mit einer AES-256-Bit-Verschlüsselung versehen. Laut Lipovsky erhalten Nutzer die Benachrichtigung “Achtung, Ihr Telefon wurde gesperrt” auf Russisch. “Das Gerät wurde wegen des Betrachtens und der Verbreitung von Kinderpornographie, Zoophilie und anderen Perversionen gesperrt.”

Zudem schickt Simplocker Daten an einen Befehlsserver, der innerhalb des Tor-Netzes gehostet wird. Die Malware kann unter anderem die IMEI-Nummer, den Gerätename und Hersteller sowie die Betriebssystemversion auslesen.

Die Forscher haben die Ransomware bislang nur in einer “Sex xionix” genannten App gefunden. Diese wird allerdings nicht im Google Play Store angeboten. Deshalb sei sie noch nicht weit verbreitet.

Ein Sicherheitsforscher hatte bereits Anfang Mai von einer Variante der Ransomware Cryptolocker für Android berichtet. Demnach verteilt sie sich als schädliche APK-Datei über Pornografie-Websites. Die Datei lädt sich zwar selbstständig herunter, aber der Nutzer muss der Installation zustimmen. Anschließend sperrt der als Koler.A bezeichnete Schädling den Home-Bildschirm. Dateien kann er nicht verschlüsseln, dafür existieren Varianten für Nutzer in mehr als 30 Ländern, darunter auch Deutschland.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de